El informe jurídico 0108/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de prestar servicios de hosting alojando datos en servidores ubicados en Estados Unidos, bajo la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007 que la desarrolla.
El informe destaca que la subcontratación de servicios de hosting por parte de un encargado del tratamiento está regulada por el artículo 21 del Real Decreto 1720/2007. Este artículo establece que el encargado del tratamiento no puede subcontratar servicios sin la autorización del responsable del tratamiento, salvo que se cumplan ciertos requisitos, como especificar en el contrato los servicios subcontratados y la empresa subcontratista, y asegurar que el tratamiento de datos se ajuste a las instrucciones del responsable del fichero.
El informe subraya que la subcontratación a un tercer país, como Estados Unidos, que no ofrece un nivel adecuado de protección de datos, requiere que el responsable del tratamiento forme parte de la relación jurídica y aporte garantías adecuadas para obtener la autorización del Director de la AEPD. Esto se fundamenta en la Directiva 95/46/CE y en la Ley Orgánica 15/1999, que exigen garantías adecuadas para la transferencia internacional de datos a países sin un nivel adecuado de protección.
El informe también menciona que no es suficiente la mera referencia del responsable en el contrato principal con el primer encargado del tratamiento; es necesario que las obligaciones del responsable se reflejen y sean exigibles en relación con la subcontratación del servicio.
Además, se analiza la posibilidad de obtener el consentimiento expreso de los afectados para la transferencia de datos, pero se concluye que esto no exime de la necesidad de obtener la autorización del Director de la AEPD, salvo en casos específicos como la adhesión a «safe harbour».
Finalmente, el informe especifica que es necesario identificar la empresa que presta el servicio de hosting y su ubicación. Si la empresa está adherida al programa «safe harbour», no será necesaria la autorización del Director, bastando con notificar la transferencia al Registro General de Protección de Datos. Solo las empresas formalmente adheridas a «safe harbour» y listadas en la página web correspondiente tendrán esta consideración.
En resumen, el informe concluye que la subcontratación de servicios de hosting en Estados Unidos requiere la participación directa del responsable del tratamiento y la obtención de garantías adecuadas para cumplir con la normativa de protección de datos, salvo en casos específicos como la adhesión a «safe harbour».